Um novo ataque cibernético está à solta: usuários de criptomoedas são alertados sobre ataques de phishing disfarçados de links de reuniões do Zoom

A SlowMist alertou para um novo golpe de phishing direcionado a usuários de criptomoedas. O golpe se disfarça de reuniões falsas do Zoom para distribuir malware que rouba dados confidenciais. Ele envolve links falsificados do Zoom que enganam as vítimas, levando-as a baixar arquivos maliciosos com o objetivo detracativos de criptomoedas.

De acordo com a plataforma de segurança blockchain SlowMist, os atacantes por trás do golpe usaram uma técnica sofisticada de phishing envolvendo um domínio que imitava o domínio legítimo do Zoom. O site de phishing, “app[.]us4zoom[.]us”, é muito semelhante à interface do site genuíno do Zoom. 

⚠️Cuidado com ataques de phishing disfarçados de links de reuniões do Zoom!🎣 Hackers coletam dados do usuário e os descriptografam para roubar informações confidenciais, como frases mnemônicas e chaves privadas. Esses ataques geralmente combinam técnicas de engenharia social e trojans. Leia nossa análise completa⬇️… pic.twitter.com/kDExVZNUbv

— SlowMist (@SlowMist_Team) 27 de dezembro de 2024

As vítimas são induzidas a clicar em um botão "Iniciar Reunião", esperando serem direcionadas para uma sessão do Zoom. No entanto, em vez de abrir o aplicativo Zoom, o botão inicia o download de um arquivo malicioso intitulado "ZoomApp_v.3.14.dmg"

Descoberta a execução de malware e o esquema de roubo de dados 

Após ser baixado, o arquivo malicioso aciona um script que solicita a senha do sistema do usuário. O script executa um arquivo executáveldentchamado “.ZoomApp”, projetado para acessar e coletar informações confidenciais do sistema, incluindo cookies do navegador, dados do Keychain e credenciais de carteiras de criptomoedas. 

Segundo especialistas em segurança, o malware foi desenvolvido especificamente para atingir usuários de criptomoedas, com a intenção de roubar chaves privadas e outros dados cruciais de carteiras. O pacote baixado, uma vez instalado, executará um script chamado “ZoomApp.file”

Ao ser executado, o script solicita que os usuários insiram a senha do sistema, dando, sem que eles saibam, acesso a dados confidenciais por parte dos hackers. 

Após descriptografar os dados, a SlowMist revelou que o script executa, em última instância, um osascript, que transfere as informações coletadas para os sistemas de backend dos atacantes.

também tracSlowMist a criação do site de phishing até 27 dias atrás, suspeitando do envolvimento de hackers russos. Esses hackers têm usado a API do Telegram para monitorar a atividade no site de phishing, tracse alguém clicou no link de download. De acordo com a análise da empresa de segurança, os hackers começaram a visar as vítimas já em 14 de novembro.

Os fundos roubados foram movimentados por diversas corretoras 

on-chain tracferramenta deTracpara investigar a movimentação dos fundos roubados. O endereço do hacker,dentcomo 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, teria lucrado mais de US$ 1 milhão em criptomoedas, incluindo USD0++, MORPHO e ETH.

Em uma análise detalhada, a MistTracrevelou que o endereço do hacker havia trocado USD0++ e MORPHO por 296 ETH.

Investigações adicionais mostraram que o endereço do hacker recebeu pequenas transferências de ETH de outro endereço, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, que aparentemente era responsável por fornecer as taxas de transação para o esquema do hacker. 

Foi constatado que o endereço transfere pequenas quantias de ETH para quase 8.800 outros endereços, o que sugere que ele pode fazer parte de uma plataforma maior dedicada ao financiamento de taxas de transação para atividades ilícitas.

Após a coleta dos fundos roubados, eles foram canalizados por meio de diversas plataformas. Binance, Gate.io, Bybit e MEXC estavam entre as corretoras que receberam as criptomoedas roubadas. Os fundos foram então consolidados em um endereço diferente, com as transações fluindo para várias corretoras, incluindo FixedFloat e Binance. Lá, os fundos roubados foram convertidos em Tether (USDT) e outras criptomoedas.

Os criminosos por trás desse esquema conseguiram evitar a captura direta usando métodos complexos para lavar e converter seus ganhos ilícitos em criptomoedas amplamente utilizadas. A SlowMist alertou os entusiastas de criptomoedas que o site de phishing e os endereços associados podem continuar a visar usuários desavisados ​​de criptomoedas.